编者按:
《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著,资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐。
本书系统化介绍金融行业中企业信息安全的架构与技术实践,总结了作者在金融行业多年的信息安全实践经验,致力于解决金融企业信息安全“最后一公里”问题,内容丰富,实践性强。
企业安全建设中离不开安全预算的制订、日常安全总结以及安全汇报,本章将介绍这几个方面的一些实践。
安全预算比例
安全预算的第一个问题是,安全投入占IT投入比例多少是合适的?2015年麦肯锡公司调研了45个全 球500强公司(如图10-1所示),中位数是3%,最多的是10%。
![企业安全建设指南 | 安全架构(十)]( "【精彩连载】企业安全建设指南 | 安全架构(十)")
图10-1 安全预算占IT投入比
另外一份调查报告《IT Security Spending Trends(SANS 2016)》显示,公司全年的IT预算用于安全性的百分比,最低的范围是0~3%的公司数量,而预算在4%~6%、10%~12%的公司三年时间(2014-2016)内逐步增加。
上述统计数据基本是基于国外公司的数据,笔者没有看到国内公开的相关数据,金融行业如银行、证券业的安全投入约占IT投入的5%,少数比较重视的会达到7%~10%。
安全投入的另一个趋势是,由于面临安全环境不断地恶化和监管要求的日益提升,安全预算一直处于快速增长中,且普遍高于IT预算的增长幅度。
预算分配
企业信息安全预算该怎么花?《IT Security SpendingTrends(SANS 2016)》显示(见表10-1),预算投入领域排前三的分别是:保护和预防、检测和响应、合规和审计。
![企业安全建设指南 | 安全架构(十)]( "【精彩连载】企业安全建设指南 | 安全架构(十)")
吴瀚清先生(道哥)曾经提到一个“三三三原则”:1/3投入到外部情报收集,这是来自外部的红军,包括众测和SRC的建设;1/3投入到安全感知系统建设,只有先看到,才能实施有效防御(特别是防御能力往往会落后于感知能力,所以要解耦);1/3投入到防御系统的建设。笔者实践总结出“五四一原则”:50%用于新增各种安全Sensor的建设,安全Sensor是各种安全态势感知、安全监测的设备、产品和服务的统称。安全感知系统其实就是一个由粗到细的过程,原来没办法监测的安全空白区通过研发和部署新的监测工具实现安全监测并转入安全运营。40%用于维护和补充各种现有安全运维所需。10%用于人的建设,包括面向不同层级对象的安全培训,对企业高层的安全宣导,开发运维人员的安全技能培训,以及最重要的安全团队人员的安全技能提升。
ROI和TCO
衡量安全预算管理成效的两个重要指标是:投资回报(ROI)和总拥有成本(TCO)。
1)投资回报(Return on Investment,ROI),即投入产出比。早期用来判定投资工厂或购买铁路相关的成本是否合理,现被广泛使用在各个领域,在安全领域则用于衡量信息安全投入的产出效益情况。目前IT投入的ROI不一定都能衡量出来,安全投入这块怎么算才是合理的?一般分成财务收益和非财务收益:
·财务收益,可以减少资损(创收),降低系统性能压力(降本),比如业务安全中打击羊毛党,既降低了费用损失,也减少系统无效性能开销;又比如风控系统做好了,以前需要发验证码的交易,现在不用发了,既提升了客户体验,又大幅降低验证码费用。例如,某行风控系统上线后,验证码发送率降低七成,短时间节约几千万费用。
·非财务收益,从合规性(监管检查无不符合项)、提高安全性、提升用户体验(同人模型降低安全交付认证复杂度)、安全应急和危机公关(保持和提升品牌公信力)等衡量安全性的指标,除了过程指标,如防病毒安装率、正常更新率、检出率和攻防对抗成功率外,还有最重要的两个结果指标,即非自身发现的安全漏洞数和安全事件数。
2)总拥有成本(Total Cost of Ownership ,TCO),用来帮助企业更好地衡量和管理IT投资所产生的价值及其全部成本,指从拥有某种产品开始,直到停止使用该产品期间的所有与其相关的投入成本。TCO分析的目的是,识别、量化并最终减少包括相关成本在内的总拥有成本。TCO包括三部分:资本支出、运维成本和机会成本。
比如,我们决策建设安全运营体系,包括购买和部署安全运营平台所需的硬件和软件(资本支出),安全运营所需的人力和运维服务(运维成本)。计算运维成本中很容易遗漏和不重视的是管理成本,遇到一个安全缺陷,最佳的是通过自动化技术解决,不能自动化技术解决,则要通过管理方式解决,两者成本是不同的。再比如,我们在安全运营中创建UseCase时,一定要考虑UseCase能否运营,考虑因素包括误报率和日均工单数量,只有小于一定数量,运维成本才可控。机会成本是一个不可见、非常难量化的部分。例如,因关键网络设备故障所引起的营收损失,因不能快速承载新业务来满足客户的新需求而导致的利润流失等。
在绝大多数情形下,计算总拥有成本是一个需要持续努力的过程,它既需要考虑技术方面的因素,又要兼顾非技术方面的因素,最好通过至少3年的时间范围来计算TCO。TCO的好处是,在决策初期提供了一种强有力的成本估算方法,但这种估算方法只看重成本,所以如果过度看重TCO,将使公司和安全团队最终采取将开支减到最少的策略,而较少考虑如何最大限度获得回报的策略,实践中应注意规避TCO带来的不利影响。
注意事项
虽然最佳ROI难以衡量,但绝大多数公司和决策者不会拿出收入的50%去进行安全建设,安全管理水平不能超越企业经营能力,或者说不能超越太多。大部分金融企业追求的是:
因此大部分决策层表态重视安全,但在和业务发展冲突时会权衡,因此安全负责人要对此有所预知并理解,实际上安全能力提高了,管理层和客户大部分是无感的,安全很多时候难做就在于此。某些安全同仁在安全汇报中尝试归纳一些正向指标,比如业务漏洞数下降了X%,但其实这些是过程指标,最终目标还是“不出事”,最后索性就用了减分的方法。这应该是大部分金融企业的做法。从这点大家就能感觉到,信息安全做得再好,好像也没法加分,出个小纰漏,就是负分,这是行业特性,很难改变。
10.2 安全总结
各类安全总结是企业安全建设负责人很重要的一项工作,如何快速高效地做一份高质量的安全总结是每位安全负责人深感头疼的问题,他们在这方面的能力普遍低于做业务的人。以年底的安全总结和述职报告为例,一份安全总结应该包括:
·内外部监管任务落实情况。包括监管、上级单位来文处理、外部网信、公安网安审计,以及内部风险、合规、稽核审计配合完成情况等。
·安全管理体系建设。信息安全三年规划和20××年工作方案、重点项目建设完成情况、重点安全机制建设完成情况(如开发安全管理机制建设、常态化安全检测机制)、重点任务完成情况(如服务器安全配置规范落地情况)、安全工作跟踪机制、安全报告和安全考核实施情况等。
·安全研究与安全意识培训实施情况。安全研究包括技术研究、技术创新、开源建设等内容。安全意识培训包括全员安全意识、IT部门员工安全意识、安全人员安全意识。
·内部管理。包括绩效管理、执行力管理、激励落实情况。
·人才培养。“走进员工、了解员工、帮助员工”的理念,帮助员工成才的工作情况。
·团队文化建设。吃喝玩乐不是团队文化。团队文化是对员工的思想、心理和行为具有一定约束和规范的软性调控,使全体团队成员在战略目标、运营流程、合作沟通等基本方面达成共识,从而增强凝聚力。团队文化的建设目标是打造团队文化的导向功能、约束功能、凝聚功能、激励功能和品牌效应。
·个人成长情况。个人在技术学习、管理实践、团队协作等方面的成长情况总结。
·存在的不足。包括工作的不足、团队的不足、团队负责人的不足。
·结果指标和过程指标相结合,尽量提供客观数据,横向和行业对比,纵向和历史的自己对比。
·要阐述公司战略和业务发展规划、IT战略,规划下,安全支撑研发运维、安全支持业务发展的情况。
·主动回应公司、业务部门、IT部门领导和横向团队关切,抱着建设的心态去接受不同意见。
·写一份好的总结的第一要素是安全团队全年业绩,而不是写作技巧。切忌吹嘘,存在的不足不要蜻蜓点水,要深刻剖析。业绩突出团队,不足归于自身。
其他安全总结类似,明确总结交付的对象,总结的关键内容、客观数据和业绩,是一份高质量总结的关键因素。
“如何管理你的上级”,将上级作为你工作的资源之一,是非常有趣的管理领域话题。安全汇报是“管理好你的上级”非常重要的一环,也是我们安全人员最不擅长的。企业安全负责人在职业生涯中面临无数的安全汇报,如何让每一次汇报取得预想的效果?如何让安全汇报成为企业安全建设的强力助推器?
参考表10-2,根据汇报对象的不同,需要建立面向监管层、公司经营管理层、跨业务和IT的跨部门,以及IT部门和总经理、安全团队内部的汇报机制。汇报的形式,包括正式会议、正式报告、正式流程阅签、邮件,甚至非正式汇报(电话、微信,吃饭和路边交流)。汇报材料可以是PPT,也可以是Word, 以及邮件和短信、微信等一切可以传递交流信息的载体工具。汇报的内容一般围绕四个目标展开:进展和问题报告(沟通信息、取得理解),结果和成果(讲成绩也讲问题),要资源和支持,推动工作(表扬先进督促后进)。
表10-2安全汇报
![企业安全建设指南 | 安全架构(十)]( "【精彩连载】企业安全建设指南 | 安全架构(十)")
汇报线的不同通常会影响协调工作,理论上汇报层级越高,越能拿到“令牌”,管理权限越大,推动一些基础安全措施会更顺利一些。安全汇报一定要聚焦和围绕目标,根据汇报对象不同,满足汇报对象的利益诉求和关切点。重大汇报前,要熟悉每一个数据,提前练习,一定要取得汇报结论。
本章围绕安全预算、安全总结和安全汇报三个内容,总结了一些具体实践和注意事项,希望读者在实际工作中,结合具体情况,反复总结,优化提升,必将获益良多。
原文始发于微信公众号(安小圈):【精彩连载】企业安全建设指南 | 安全架构(十)
评论